甲方安全建设思考-3
系统安全加固
系统安全是所有安全工作的第一步,这部分内容可以归入安全基线。
Linux加固
禁用LKM ,限制/dev/mem,内核参数调整,禁用NAT,Bash日志,应用配置加固,Web进程以非root运行,过滤特定文件类型
远程访问 使用SSH V2,而不是V1 使用SSH V2,而不是V1
网络访问控制
安全域和访问控制的区别在于,安全域是更加高层次的圈地运动,而NACL相对更具体化,针对的是每一个系统;安全域相对固化,基本不会变动,而NACL则会应需而变。
服务器4A
4A指:账户(Account)、认证(Authentication)、授权(Authorization)、审计(Audit)。对于较大规模的服务器集群,不太可能使用每台服务器单独维护用户名密码(或是证书)的权限管理方式,而必须使用类似于SSO的统一权限管理。目前主要有两种方式:一种是基于LDAP的方案,另一种是基于堡垒机的方案。
1.基于LDAP
基于LDAP的服务器SSO架构如图
LDAP的方案可以使用LDAP服务器作为登录的SSO,统一托管所有的服务器账号,在服务器端对于Linux系统只要修改PAM(PluggableAuthentication Modules? ), Windows平台则推荐pGina(pGina是一个开源插件,作为原系统凭证提供者GINA的替代品,实现用户认证和访问管理),使登录认证重定向到LDAP服务器做统一认证。
基于堡垒主机的方式如图
在Radius上新建用户Richard,为该用户生成SSH的公私钥对,使用自动化运维工具将公钥分发到该用户拥有对应权限的服务器上。用户的SSH连接由堡垒机托管,登录时到Radius服务器使用动态令牌认证身份,认证成功后授权访问其私钥,则对于有SSH公钥的服务器该用户都可以登录。网络访问控制上应设置服务器SSHD服务的访问源地址为堡垒机的IP。
网络安全
网络入侵检测
1.传统NIDS
IDS(入侵检测系统)NIDS(网络入侵检测系统)
绿盟的NIDS产品架构
绿盟科技IPS体系架构
IDS/IPS部署示意图
大型全流量NIDS
传统NIDS在大型互联网场景下有如下几个明显的缺陷:
❑ IDC规模稍大很容易超过商业NIDS处理带宽的上限,虽然可以多级部署,但无法像互联网架构一样做到无缝的水平扩展,不能跟基础架构一起扩展的安全解决方案最终都会掣肘。❑ 硬件盒子单点的计算和存储能力有限,很容易在CPU时间和存储空间上达到硬件盒子的上限,即使有管理中心可以腾挪存储空间也解决不了这个问题。❑ 规则数量是性能杀手,最不能被并行处理的部分会成为整个架构的瓶颈。❑ 升级和变更成本高,可能对业务产生影响。❑ IDC规模较大时,部署多台最高规格商业NIDS的TCO很高(Google如果用IBM的解决方案会破产)。
NIDS硬件扩展方案
这样看上去比厂商提供的多层级联的方案稍微好一点,貌似解决了水平扩展问题,但是它仍然没有解决TCO的问题,无论如何这种方案都不适合拿到台面上来作为最佳实践,它只能用于暂时换取自研NIDS的时间。
基于大数据的NIDS架构
❑ 分层结构,所有节点全线支持水平扩展。❑ 检测与防护分离,性能及可用性大幅提升,按需决定防护,支持灰度。❑ 报文解析与攻击识别完全解耦,入侵检测环节“后移”。❑ 依赖大数据集群,规则数量不再成为系统瓶颈,并且不再局限于基于静态特征的规则集,而是能多维度建模。❑ “加规则”完全不影响业务。
这是全流量全协议全功能版本,你也可以只取其中一部分,比如对于以HTTP/HTTPS为主的Web平台可以只关注HTTP类协议。
关于D还是P
对于单纯的检测来说,过分的实时性要求其实意义不是特别大,攻击行为发生后10秒钟告警和10分钟告警效果都差不多,慢一点也不会误事。
对互联网服务而言,可用性是除了数据丢失以外的第二大严重问题,如果要实现P就会面临延迟和误杀的风险,因此P方案实际比D方案难了一个阶梯。
在“和平时期”,一般不需要启用P功能,只使用D就可以。
甲方安全建设思考-3相关推荐
- 大型企业中业务中台建设思考
大型企业中业务中台建设思考 近年来从互联网领域到传统行业竟争变得日益激烈,消费者的层次结构和个性化需求在快速发生变化,企业为了应对这种变化不得不进行业务的快速迭代,在此背景下IT行业里中台的概念逐渐火 ...
- 城市网络安全运营中心建设思考(一):前世今生
这是写在平台的第一篇文章,讲建设思考前,觉得有必要对整个网络行业的情况做一个简单讲述. 从1990年前后开始,国内网络安全网络安全行业和互联网基本是同时诞生,网安市场的发展历程是分为两个部分来讲. 第 ...
- 重庆二师计算机科学与技术,应用型本科院校计算机科学与技术专业一流课程建设思考──以重庆第二师范学院为例...
ELECTRONICS WORLD·j5 ji 与.i!Z 寡 应用型本科院校计算机科学与技术专业一流课程建设思考 - - 以重庆第二师范学院为例 重庆第二师范学院数学与信息工程学院 杨华千 廖传丽 ...
- 数据应用服务规划及建设思考
数据应用服务规划及建设思考. 本文所描述的数据应用服务其实是两个方面,包括数据服务和应用服务,统称为数据应用服务.区别在于应用服务是相当独立的模块或解决方案,能够接收或提供应用类服务,侧重于功能或完整 ...
- 大数据平台的建设思考——数据汇聚
大数据平台的建设思考(一) 常规大数据建设.数据中心建设,会经过以下阶段:数据汇聚.清洗整合.融合.数据融合,数据输出给各个大数据应用使用. 将整个数据流比作炒一道美味的菜肴,那么对应关系: - 买菜 ...
- K2 BPM_北汽新能源业务流程管理信息系统建设思考_全球领先的工作流引擎
本文由CIO发展中心根据北汽新能源流程与IT总监刘伟霞在"亦庄CIO数字化转型探索--CIO发展中心亦庄分舵2019夏季论坛"活动中演讲整理. 在"亦庄CIO数字化转型探 ...
- 无线运维的起源与项目建设思考
原本是计划写写无线运维的项目年度总结的,但是想想一个项目总结文章,只是对自己和项目有个回顾和交代,对于无线运维这个新的概念,还不如放开讨论一下.说到这里,可能一些好奇的同学可能会发出灵魂三问:什么是无 ...
- 以攻促防:企业蓝军建设思考
1.高悬的达摩克里斯之剑 2017年4月,黑客组织Shadow Brokers公布一批美国国家安全局(NSA)的网络漏洞军火库.背靠国家,NSA拥有强大的通杀型0day漏洞挖掘和利用能力,这批漏洞库指 ...
- ToB质量保障体系建设思考
互联网企业向ToB转型要实现"高质量.低成本.高效率"交付的目标,需要构建一套完整的质量保障体系.通过总结行业质量保障的最佳实践,结合对ToB业务和互联网的业务的理解,个人认为质量 ...
- 政务微信门户建设思考
移动互联网的快速发展,给社会化媒体带来了很大的发展空间,具有代表性的就是微信和微博.作为目前移动互联网领域内用户数最大的两大平台,政府部门也开始借助其用户量大的基础来做服务.前期微博兴起后,有一大批的 ...
最新文章
- RSA、MD5等加密算法的区别和应用
- 关于批量发布blog的问题
- 计算机网络第三章-数据链路层
- Keepalived的LVS配置
- 【项目管理】上线切割计划实践
- html列表拖拽排序插件,JS拖拽排序插件Sortable.js用法实例分析
- 理论基础 —— 队列 —— 循环队列
- linux下C的一些开发技巧总结
- [网络流24题]孤岛营救问题
- android rsa最大加密明文大小_Android 登录密码信息进行RSA加密示例
- 实现一个react系列一:JSX和虚拟DOM
- 【Java进阶】Java并发包提供了哪些并发工具类?
- 密度聚类算法python详解_密度聚类python
- 数字电路专题:常用逻辑门符号
- c语言ad转换实验报告,有关单片机AD转换的实验报告
- python卡方拟合性检验_卡方分布、卡方独立性检验和拟合性检验理论及其python实现...
- luogu P1653 猴子
- Dijkstra算法 详细讲解
- 【渝粤题库】国家开放大学2021春2026国际金融题目
- Python实验报告一 python基础试题练习